¿Deshabilitar el inicio de sesión como root mediante kickstart? ¿Recomendaciones de consejos?

Esta es una pregunta de dos partes. En primer lugar, solo estoy buscando la validación, si estoy haciendo esto correctamente, ya que no estoy seguro de cómo probarlo. El objetivo es no permitir el inicio de sesión de la cuenta raíz y que todos la utilicen sudo. Para lograr esto, estoy poniendo un bloqueo en la cuenta raíz para evitar que cualquiera pueda iniciar sesión como raíz. Si surge la necesidad, siempre puedo crear una cuenta con permisos completos y ejecutar comandos destinados al root a través de sudo. Esto me lleva a mi segunda pregunta, pero la haré cerca del final.

La razón por la que también estoy buscando validación es porque cuando investigué sobre el tema y cómo lograrlo, las discusiones eran antiguas y sugerían que las personas inicialmente establecieran una contraseña rootpwen su archivo kickstart y luego escribieran un script %postque editara el /etc/shadowarchivo. para establecer la contraseña con otra cosa, o use !!. Miré mi instancia de Amazon EC2 para ver qué hizo Amazon con la cuenta raíz y se ve así:

root:*LOCK*:14600::::::

Supongo que la razón por la que está bloqueado es por el *y no por el *LOCK*. Si mi suposición es correcta, entonces:

root:*LOCK*:14600::::::

¿Ser el mismo que?:

root:*:14600::::::

Dicho esto, en mi archivo kickstart edité la línea sobre rootpwpara que se vea como la siguiente:

rootpw --iscrypted *

Después de la instalación, mi /etc/shadowarchivo tiene el siguiente aspecto:

root:*::0:99999:7:::

Por lo tanto, mi primera pregunta es: ¿sería esta una forma correcta de bloquear la cuenta raíz?

En segundo lugar, sobre el tema que mencioné anteriormente, no usar root. ¿Existen circunstancias particulares en las que esto no se recomienda? Si es así, ¿por qué no sería suficiente una cuenta de acceso completo con sudo (para tener auditoría)?